La D de RGPD: Datos personales en el contexto del comercio minorista de automóviles

A estas alturas, seguro que has oído hablar del Reglamento General de Protección de Datos (RGPD), del inminente hito del 25 de mayo de 2018 y de las horribles multas por su incumplimiento. En primer lugar, que no cunda el pánico: tenga en cuenta que los famosos 20 millones de euros o el 4% de la facturación global (lo que sea más alto) es la multa más alta, que se aplica a las infracciones graves.

En segundo lugar, tómese unos minutos para entender cómo afecta esta nueva ley de protección de datos a los concesionarios de automóviles. Permítanos explicarle los principales conceptos e implicaciones sin la intimidante terminología jurídica.

¿Qué son los datos personales?

Los datos personales, en el contexto de la privacidad de los datos, son algo más que lo que encontramos en el típico documento de identidad; el término tiene un significado más amplio. El artículo 4 del RGPD la define como "cualquier información relativa a una persona física identificada o identificable". Piense en los datos que maneja un concesionario en relación con una persona: desde la información de contacto hasta la marca de aceite de motor utilizada en el último mantenimiento, los límites de crédito, la intención de compra, los modelos de interés hasta el número de veces que el cliente rechazó las recomendaciones del taller.

Piense en los datos como sus activos, de forma similar al inventario de piezas

Merece la pena considerar los datos personales como activos que necesitan ser resguardados, de forma similar a las existencias de piezas; no dejamos el almacén de piezas abierto para que todo el mundo se sirva. Nos aseguramos de que haya controles para contabilizar el inventario de piezas; sólo unas pocas personas tienen acceso y cualquier pieza de recambio que se recoja tiene una razón clara para salir, por ejemplo, para reparar un coche.

Del mismo modo, debemos poner "límites" al "inventario" de datos: un conjunto de controles para que sólo accedan a ellos las personas autorizadas, "cerrando" las puertas y definiendo las normas de uso. De la misma manera que establecería normas, qué piezas de recambio deben almacenarse dónde y las razones válidas para sacarlas del almacén.

El reto: Seguimiento y manejo de grandes cantidades de datos

Parece sencillo, si pensamos en el papel y los archivadores, pero hoy en día las tecnologías hacen más difícil identificar dónde están los datos. A diferencia de los bienes físicos, los datos electrónicos pueden copiarse, reproducirse y distribuirse en milisegundos.

Pensemos en un escenario sencillo en el que una persona que se dirige a otra ciudad tiene un problema con su coche.

La búsqueda de un concesionario y la reserva de una cita pueden realizarse desde el vehículo. El concesionario obtiene por vía electrónica no sólo el nombre de la persona, los datos de contacto y el alcance del trabajo, sino también las posibles condiciones defectuosas del vehículo. Antes de la recepción, se puede recibir del fabricante cualquier situación relacionada con el vehículo. Una vez realizado el trabajo, el fabricante querría saber qué se hizo para alimentar un historial central del vehículo, evaluar el rendimiento del taller e incluso hacer un análisis predictivo, probablemente con inteligencia artificial. Así, los datos personales han sido:

• Recogidos: incluso antes de conocer a la persona, el distribuidor ya tiene un montón de datos
• Utilizados: hacer la reparación, informar de los impuestos y cobrar
• Generados: al realizar la reparación, se "crearon" más datos relacionados con el individuo: la propia visita, las actividades realizadas, las piezas de recambio sustituidas, la factura, los detalles de pago, etc.
• Compartidos con un tercero para ser utilizados con otros fines.

Hoy en día, todos estos datos se consideran datos personales, y su mal uso, intencionado o no, es lo que tenemos que evitar en el espíritu de la privacidad de los datos. El concesionario y el fabricante deben manejar estos datos con cuidado y evitar el acceso no autorizado. Pero hay un aspecto adicional: el control que el individuo tiene sobre los datos personales: algunas actividades de este ejemplo podrían desviarse de lo que la persona quería.